Uit onderzoek van het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg bleek onlangs dat de beveiliging van computersystemen in ziekenhuizen zeer slecht is. Een constatering die voor expert Erik Westhovens niet onverwachts kwam. Hij ging de afgelopen tijd zelf op pad en controleerde verschillende Nederlandse ziekenhuizen. Hieronder zijn bevindingen.
Op 1 oktober heb ik de stoute schoenen aangetrokken en ben ik een dagje op zoek gegaan naar informatie. Gewoonweg om te kijken hoe het is gesteld met de beveiliging van gegevens die over ons liggen opgeslagen. Deze keer heb ik gekozen voor het ziekenhuis. Bij dit soort 'illegale' acties probeer ik zo objectief mogelijk te zijn, maar loop ik ook behoorlijke risico's.
Dus eerst goed voorbereiden zonder iemand wakker te maken. Na overleg met mijn advocaat gaf deze meteen aan dat ik een paar dagen extra moest plannen voor kost en inwoning. Dus 2 oktober en 3 oktober vrijgehouden in mijn agenda en op pad.
09:45 Ziekenhuis ergens in de buurt van Amsterdam.
Met behulp van mijn EHBO-kennis eerst mijn linkerarm in het verband gezet, en een mitella omgedaan. Dan lijkt het al heel wat. Auto in de parkeergarage en de poli ingewandeld. Mij netjes bij de informatiebalie gemeld en daarna hup, op zoek naar een werkplek. Binnen vijftien minuten vond ik een werkplek waar niemand zat. USB-stickje erin en wat leuke dingen getest. Vijf minuten later bleek dat ik met gemak administrator-rechten had, en ik kon zomaar browsen door files, servers en bestanden openen. Test geslaagd. Dus op weg naar buiten. Pijnlijk gezicht opzetten natuurlijk en hop naar de garage.
Pluspunt! Ik werd bij binnenkomst netjes gevraagd wat ik kwam doen, maar met een pijnlijk gezicht en even naar mijn arm kijken was er verder geen probleem.
Minpunt! Diverse werkplekken stonden onbeheerd ter beschikking. Het was alleen nog zoeken naar de beste plek om onopgemerkt te blijven.
10:55 In de buurt van Utrecht.
Mitella weer om, de tweede poging. Netjes naar binnen en rechtstreeks naar de poli. De eerste de beste lift naar boven en op zoek naar een werkplek. Hier was het een stuk moeilijker om een werkplek te vinden. Eindelijk een plek gevonden waar ik stilletjes mijn gang kon gaan. Een medewerker werd opgepiept en liep weg. Snel naar de plek en …Oeps, ctrl-alt-del. Dat ging dus niet werken.
Na een half uurtje de poging maar opgegeven.
Pluspunt! Het is me niet gelukt.
Minpunt! Er stonden enkele pc's onbeheerd, maar er waren te veel medewerkers in de buurt.
12:30 Een ziekenhuis in de buurt van Tilburg.
Heel goed geregeld. Ik kon meteen naar binnen en had binnen vier minuten al een werkplek te pakken waarop ik mijn werk kon doen. Dat ging snel. Na vijf minuutjes browsen op het netwerk op zoek naar wat gegevens en weer snel de deur uit. Binnen vijftien minuten zat ik alweer in de auto.
Pluspunt? Geen idee.
Minpunt! Daar ga ik dus nooit meer heen. Geheimen liggen daar in no-time op straat.
Dan maar weer richting huis. Ik had me voorgenomen om er drie te bezoeken, maar het was dermate gemakkelijk dat ik een vierde nog wel aandurfde.
15:15 Een ziekenhuis in Limburg.
Met een van pijn vertrokken gezicht naar binnen. Een vriendelijke dame ving me netjes op en wees me de weg naar de poli. Maar daar wou ik niet zijn. Hop met de lift omhoog en de afdelingen op. Na kwartier ronddwalen vond ik een mooie werkplek. Afgelegen, geen mens te zien. De medewerker van die werkplek verliet de afdeling net, en ik kon snel mijn gang gaan. USB-stickje erin. Hee? Dat is nieuw? Die werd meteen herkend en ik had er een drive-letter bij. Dat was wel heel gemakkelijk. Snel een toolkitje gestart en op zoek naar info. Admin-wachtwoorden opgezocht, en een rdp naar de AD-controller. Even users en computers starten en meteen een SQL-server gevonden.
Eens even kijken. Snel een query gebouwd en deze laten zoeken naar mensen met dezelfde achternaam als ik. En binnen vijf minuten had ik full access tot mijn eigen dossier. Nu nog snel wegwezen.
Stickie eruit en de pc uitgezet om te voorkomen dat de medewerker zou kunnen zien dat er iemand iets had gedaan. Bij het verlaten van de afdeling kwam de medewerker terug en vroeg me hoogstverbaasd wat ik daar deed. Oeps, betrapt. Met mijn pijnlijk gezicht vertelde ik hem dat ik de weg kwijt was en op zoek was naar de poli. Hij keek naar mijn arm en twijfelde even. De spanning schoot er even bij me in, maar de medewerker werd heel vriendelijk. Ik kreeg meteen een paracetamol van hem, en hij wees me de weg naar de poli.
Behoorlijk geschrokken dat ik bijna was betrapt – ik zag me al een nachtje in de cel – stapte ik in mijn auto.
Het is niet zo best gesteld met de gegevensbeveiliging in onze ziekenhuizen. Alle dossiers staan digitaal op een netwerk en het is relatief gemakkelijk om daar toegang toe te krijgen. Deze dag toonde voor mij duidelijk aan dat het makkelijk is om in een ziekenhuis een werkplek te vinden die je kunt gebruiken. Alleen in het ziekenhuis in de omgeving van Utrecht lukte het niet. De enige pc die ik kon vinden was netjes vergrendeld met een screensaver. Buiten dit ziekenhuis om was het overal mogelijk om de usb-stick met tools te gebruiken. Verder was er geen beveiliging tegen een veel gebruikt lek, wat het mogelijk maakt om admin-wachtwoorden in te zien. Het zoeken naar de renamed admin koste me meer tijd dan het ophalen van het wachtwoord.
Men kan zich wel voorstellen wat er gebeurt als iemand dit in het Bronovo-ziekenhuis in Den Haag doet en daar toegang zou hebben tot gegevens over het koninklijk huis. Menig blad in Nederland zou dolgraag echo's of rontgenfoto's willen zien. Je hoeft ze niet eens op een disk of stick te zetten. SMTP stond in alle bezochte ziekenhuizen open, en met een kleine SMTP-mailer kun je vanaf een command line snel gegevens de deur uit krijgen. Dat verkleint de risico's al behoorlijk. Als je al gepakt word, heb je in ieder geval niets bij je.
Er moet nog erg veel gebeuren om ook deze gegevens veiliger te maken. De eerste stap zou een goed securitybeleid zijn. Daar begint alles mee.
Persoonlijk voel ik me niet aangetrokken tot een testmethode als beschreven in het artikel. Zoals echter ook in de diverse reacties is te lezen kan het soms wel handig zijn om een punt te maken. Ik ben dan wel benieuwd wat de opvolging van dit experiment is geweest. Net als bij het ontdekking van een fout in software geldt hier, naar mijn mening, dat je eerst de fabrikant (in dit geval ziekenhuis) op de hoogte stelt van je bevindingen alvorens over te gaan tot publicatie.
Het is natuurlijk wel zo dat het een zorgelijke situatie betreft en dat het hoog tijd wordt dat er iets aan de beveiliging van onze medische gegevens wordt gedaan.
Natuurlijk is het maken van een punt goed als dat het juiste effect teweegbrengt zonder teveel collateral damage te veroorzaken.
Ik denk dat deze actie schade toebrengt aan het al niet geweldige imago van de ICTer, er niet toe leidt dat het probleem breder wordt opgelost en dus de patient in het algemeen niet helpt. Schrikreacties hebben vaak minder de voorkeur dan weloverwogen besluiten.
Trouwens, als we het hebben over risicomanagement moeten we nog wel kijken naar hoe groot de kans is dat het gebeurt, wat de schade zou zijn als het gebeurt en wat de inspanning zal zijn om het probleem te verkleinen. Er is ook nog iets nodig als gemotiveerde dader. En natuurlijk, er is altijd wel een gek te vinden, maar er is ook vast wel een gek te vinden die ergens benzine in een brievenbus wil gooien en daarna in de hens wil steken. De schade kan daarbij mensenlevens betekenen, maar niemand schroeft nu daarom z’n brievenbus dicht. Dus wie weet is het uiteindelijk wel een risico dat we met z’n allen willen nemen.
Mijn punt is dat Erik minder schade zou hebben veroorzaakt en meer effect zou hebben gehad voor de informatieveiligheid van de patient door instellingen een gratis audit aan te bieden en dat input te laten zijn aan bijvoorbeeld een combinatie van directie en patientenvereninging, allemaal onder NDA natuurlijk. Dan heb je het over oplossen van problemen v??rdat ze ontstaan.
Natuurlijk is het maken van een punt goed als dat het juiste effect teweegbrengt zonder teveel collateral damage te veroorzaken.
Ik denk dat deze actie schade toebrengt aan het al niet geweldige imago van de ICTer, er niet toe leidt dat het probleem breder wordt opgelost en dus de patient in het algemeen niet helpt. Schrikreacties hebben vaak minder de voorkeur dan weloverwogen besluiten.
Trouwens, als we het hebben over risicomanagement moeten we nog wel kijken naar hoe groot de kans is dat het gebeurt, wat de schade zou zijn als het gebeurt en wat de inspanning zal zijn om het probleem te verkleinen. Er is ook nog iets nodig als gemotiveerde dader. En natuurlijk, er is altijd wel een gek te vinden, maar er is ook vast wel een gek te vinden die ergens benzine in een brievenbus wil gooien en daarna in de hens wil steken. De schade kan daarbij mensenlevens betekenen, maar niemand schroeft nu daarom z’n brievenbus dicht. Dus wie weet is het uiteindelijk wel een risico dat we met z’n allen willen nemen.
Mijn punt is dat Erik minder schade zou hebben veroorzaakt en meer effect zou hebben gehad voor de informatieveiligheid van de patient door instellingen een gratis audit aan te bieden en dat input te laten zijn aan bijvoorbeeld een combinatie van directie en patientenvereninging, allemaal onder NDA natuurlijk. Dan heb je het over oplossen van problemen v??rdat ze ontstaan.
citaat:
“oplossen van problemen voordat ze ontstaan”
Van 1988 tot 1991 heb ik bij een bedrijf gewerkt dat ziekenhuizen automatiseerde. Dit was toen al een punt van discussie. Is 20 jaar niet genoeg om te begrijpen dat er iets gedaan moet worden?
Bij zo weinig interesse vanuit de zorgsector vindt ik die aktie meer als legitiem. Zachte heelmeesters maken stinkende wonden is een spreekwoord dat langzaam ook van toepassing is op de laksheid om patientengegevens goed te beveiligen.
Prachtig verhaal Eric
Doet me goed om te zien dat je daadwerkelijk bewezen hebt vanuit de praktijk, en vanuit eigen ondervinding, dat de beveiliging in ziekenhuizen niet deugd.
Deze real-life bezoekjes zeggen meer dan menig “bla bla bla security, concepten, beleids” overleg ver van de werkvloer.
Ga je nog meer dingen onderzoeken op deze manier?
Het is inderdaad een prachtig verhaal. Wie zegt dat het ook waar gebeurd is? De auteur laat zich niet meer horen sinds er kritiek wordt geuit.
Aan allen.
De gekozen methode is niet de meest fijne, maar ik ben van mening dat openheid een belangrijk goed is. Na alle reacties een aantal keren goed doorgelezen te hebben, merk ik op dat ieder het op zijn manier interpreteert. Nee, het zal het beeld van de ICT’er niet aantasten. belangrijkste is dat aangetoond werd dat de mensen in de ziekenhuizen slecht en zelfs nalatig omgaan met hun account. Men moet zich realiseren dat een computer bedoeld is om informatie te ontsluiten. Je account met bijhorend wachtwoord is bedoeld om die ontsluiting te beveiligen.
Daar zit hem het grootste issue, en mijns inziens heb ik ook alleen dat en niets meer aangetoond.
Nee, ik heb geen informatie ingezien die ik niet hoef te zien, en nee, ik heb zeker geen informatie meegenomen. Als ik echt iets had willen doen, dan had het wel in de story of de prive gestaan. Die betalen volgens mij best wel wat om inzage te heben in de gezondheidstoestand van een bekende Nederlander.
Er zijn altijd mensen die kritisch reageren, en juist deze mensen zou ik willen vragen wat zij ervan vinden als hun informatie straks gewoon op straat ligt?
Gewoon omdat het kan!
@ doemdenker? Ik weet niet precies over welke kritiek je het hebt. de reacties zijn volgens verwachting. Tegenstanders, voorstanders, en mensen die het goed vinden, maar de methode niet steunen. In een vrij Nederland is dat straks het enige wat ons nog rest. Vrijheid van meningsuiting. En zelfs die is al redelijk ingeperkt. Al het andere ligt straks helemaal vast, en achtervolgt je van geboorte tot dood.
En voor degene die het nog niet wist! Ik ben een heel groot voorstander van het EPD. Ik ben zelfs voorstander van het EKD (elektronisch kind dossier), maar dan wel veilig en betrouwbaar. Straks rijd je met je auto tegen een boom en dan krijg je bloedgroep A positief bijgezet want dat staat in je dossier. Blijkt echter dat je negatief hebt? Wie draait er dan voor op? Wie is verantwoordelijk? Ieder kan er in principe redelijk eenvoudig bij. Maar jij! Jij hebt echt een probleem. Ieder die een beetje medisch geschoold is weet wat er met je gebeurt als dat scenario je overkomt. Nu word er een contra test gedaan. Dat kan in twee minuten.
Gebeurt dat straks ook nog? het ziekenfonds zal wel zeggen nee, want de test kost al snel een eurootje of 25. Besparen in de marge.
Met vriendelijke groet en allen in ieder geval bedankt voor jullie wel of niet kritische antwoord.
Ben het geheel eens met Erik, heb zelf met toestemming van een Medisch specialist een audit gedaan op zijn poli.
De beveiliging is inderdaad beneden alle peil, onder andere met een simpele keylogger achter in de USB poort kun je al informatie vergaren.
Waarom wordt b.v. autorun niet uitgeschakeld, en USB poorten niet geblokkeerd voor medewerkers die dit in het geheel niet nodig hebben, hierbij verwijs ik naar het rapport van de AIVD die wijst op de gevaren van de USB stick en dan nog maar niet te spreken over de imago schade. Syteem beheerders zijn soms ook wel eens te gemakzuchtig!! Weet ik uit ervaring!
Deze actie is nog maar een milde versie van de risico’s waaraan ziekenhuizen blootstaan. Lees maar eens het artikel
http://hbr.org/2009/10/when-hackers-turn-to-blackmail/ar/1
over een ziekenhuis wiens documenten gegijzeld worden. Ziekenhuizen moeten niet alleen hun gegevens beter beveiligen, maar ook fall-back scenario’s testen voor het geval hackers misbruik maken van lekken. Dat is dus nog een stap verder.